আইআইএস সহ একই সার্ভারে এসএনআই এবং ওয়াইল্ডকার্ড এসএসএল শংসাপত্রগুলি

আমি এমন একটি ওয়েবসাইট হোস্ট করতে চাই যা আইআইএস এবং এসএসএলের সাথে কেবলমাত্র দ্বিতীয় স্তরের ডোমেনের (যেমন ডোমেন 2.com, ডোমেইন 3.com) অধীনে থাকা একাধিক ওয়েবসাইটের সাথে সাবডোমেনগুলি (যেমন সাব.ডোমেন.কম) শুনতে হবে।

সাবডোমেনগুলির সাথে ওয়েবসাইটের জন্য আমার কাছে একটি ওয়াইল্ডকার্ড শংসাপত্র রয়েছে (* .domain.com) এবং অন্য সাইটগুলির জন্য বিশেষত আমার কাছে শংসাপত্রও রয়েছে (ডোমেন 2 ডটকম এবং ডোমেন 3 ডটকম)।

এই জাতীয় সেটটি কি একই আইআইএস-এ হোস্ট করা যেতে পারে (যদি এটি একটি অ্যাজুরে ক্লাউড সার্ভিসের ওয়েব ভূমিকাতে থাকে)?

সমস্যাটি হ'ল টাইটোবএফ এখানে ঠিক কী ব্যাখ্যা করেছে : তাত্ত্বিকভাবে এর জন্য আমাদের ডোমেন 2 / 3.com এর জন্য নির্দিষ্ট হোস্ট এবং তারপরে * .domain.com এর জন্য একটি হোস্টের সাথে একটি ক্যাচ-সমস্ত ওয়েবসাইটের সাথে এসএনআই ব্যবহার করে বাইন্ডিংগুলি দরকার। তবে বাস্তবে বাইন্ডিংগুলি কীভাবে সেট আপ করা হয় তা বিবেচনা না করে যদি ক্যাচ-অল ওয়েবসাইট এটিতে থাকে তবে এটি ডোমেন 2 / 3.com- এ সমস্ত অনুরোধগুলি গ্রহণ করবে (যদিও এটি সম্ভবত শেষ সমাধান হিসাবে মিলছে)।

কোন সাহায্য প্রশংসা করা হবে।

এখনও অমীমাংসিত

দুর্ভাগ্যক্রমে আমি এটি সমাধান করতে পারিনি: এটি কেবলমাত্র জটিল পদ্ধতিতে সমাধানযোগ্য বলে মনে হয়, যেমন একটি সফ্টওয়্যার তৈরি করা যা আইআইএস এবং ইন্টারনেটের মধ্যে বসে থাকে (সুতরাং মূলত একটি ফায়ারওয়াল) এবং আগত অনুরোধগুলিকে সংশোধন করে (এসএসএল হ্যান্ডশেক হওয়ার আগে)! ) দৃশ্যের অনুমতি দিতে। আমি সম্পূর্ণরূপে আত্মবিশ্বাসী যে আইআইএসের মাধ্যমে এটি সম্ভব নয়, তা দেশীয় মডিউল থেকেও নয়।

আমাকে স্পষ্ট করতে হবে: আমরা অ্যাজুরে ক্লাউড পরিষেবাদি ব্যবহার করি, সুতরাং আমাদের আরও বাধা রয়েছে যে আমরা একাধিক আইপি ঠিকানা ব্যবহার করতে পারি না (দেখুন: http://feedback.azure.com/forums/169386- ক্লাউড-সার্ভিসেস- ওয়েবে- এবং -কর্মী-ভূমিকা / পরামর্শ / 1259311-একাধিক-এসএসএল-এবং-ডোমেন-টু ওয়ান-অ্যাপ্লিকেশন )। আপনি যদি আপনার সার্ভারে একাধিক আইপি নির্দেশ করতে পারেন তবে আপনার কাছে এই সমস্যা নেই কারণ আপনিও আইপি-র জন্য বাইন্ডিং তৈরি করতে পারেন এবং সেগুলি একসাথে ওয়াইল্ডকার্ড বাইন্ডিংয়ের কাজ করবে। আরও সুনির্দিষ্টভাবে, ওয়াইল্ডকার্ড সাইটের জন্য আপনার আইপি দরকার (তবে এখন আপনার আলাদা আইপি রয়েছে বলে আপনাকে কোনও ওয়াইল্ডকার্ড হোস্ট নেম বাইন্ডিং কনফিগার করতে হবে না) এবং অন্য সমস্ত নন-ওয়াইল্ডকার্ডের জন্য অন্য আইপি দরকার।

প্রকৃতপক্ষে আমাদের কর্মসংস্থানটি ছিল একটি মানহীন এসএসএল পোর্ট, 8443 ব্যবহার। সুতরাং এসএনআই বাইন্ডিংটি আসলে এই বন্দরের সাথে আবদ্ধ, সুতরাং এটি অন্যান্য বাঁধার সাথে কাজ করে। সুন্দর নয়, তবে আপনি ওয়েব ভূমিকার জন্য একাধিক আইপি ব্যবহার না করতে পারা পর্যন্ত আমাদের কাছে একটি গ্রহণযোগ্য কাজ।

এখন অ-কার্যকারী বাঁধাই

প্রথম https বাইন্ডিংটি একটি সাধারণ শংসাপত্র সহ এসএনআই, দ্বিতীয়টি ওয়াইল্ডকার্ড শংসাপত্র সহ, এসএনআই নয়।

Http সাইটটি কাজ করে, পাশাপাশি এসএনআই https সাইট, তবে ওয়াইল্ডকার্ড বাইন্ডিং সহ একটিটি "HTTP ত্রুটি 503 দেয় The পরিষেবাটি অনুপলব্ধ।" (কোনও তথ্য ছাড়া, কোনও অনুরোধ ট্র্যাকিং বা ইভেন্ট লগ এন্ট্রি ব্যর্থ)।

অবশেষে এটি মূলত কাজ করা

ETW ট্রেস লগটিকে টোবিয়াস বর্ণিত মত সক্ষম করে দেখানো হয়েছে যে মূল ত্রুটিটি নিম্নলিখিত ছিল:

অনুরোধ (অনুরোধ ID 0xF500000080000008) কারণে কারণে প্রত্যাখ্যান করা হয়েছে: UrlGroupLookupFailed।

আমি যতদূর বুঝতে পেরেছি এর অর্থ এই যে http.sys অনুরোধটি কোনও উপলভ্য শেষ পয়েন্টে যেতে সক্ষম হয় না।

নিবন্ধভুক্ত শেষ পয়েন্টগুলি পরীক্ষা করে netsh http show urlaclদেখা গেছে যে 443 বন্দরের জন্য সত্যিই নিবন্ধিত ছিল:

Reserved URL            : https://IP:443/
    User: NT AUTHORITY\NETWORK SERVICE
        Listen: Yes
        Delegate: No
        SDDL: D:(A;;GX;;;NS)

netsh http delete urlacl url=https://IP:443/শেষ পর্যন্ত আমার এসএসএল বাইন্ডিং সক্ষম করে এটি অপসারণ করা ।

বারিস ঠিক আছে! একটি আইপি তে কনফিগার করা SSL শংসাপত্র: পোর্ট বাইন্ডিং (উদাহরণ: 100.74.156.187:443) সর্বদা http.sys এ অগ্রাধিকার নেয়! সুতরাং সমাধানটি নিম্নরূপ:

আপনার ওয়াইল্ডকার্ড-ফ্যালব্যাক-শংসাপত্রের জন্য একটি আইপি: 443 বাইন্ডিং কনফিগার করবেন না তবে এর জন্য একটি *: 443 বাইন্ডিং (* মানে "সমস্ত নিযুক্ত)" কনফিগার করুন ।

যদি আপনি আজুর ক্লাউড সার্ভিস এসএসএল এন্ডপয়েন্টে আপনার ওয়াইল্ডকার্ড শংসাপত্রটি কনফিগার করেছেন (যেমন আছে) আপনাকে আইপি: পোর্ট থেকে *: পোর্ট থেকে অ্যাজুর ক্লাউড সার্ভিস রানটাইম (আইআইএসকনফিগুয়েটর.এক্সই) দ্বারা নির্মিত এসএসএল বাইন্ডিংটি পরিবর্তন করতে হবে। আমি আমার ওয়েব রোলটির অন স্টার্টে নিম্নলিখিত পদ্ধতিটি কল করছি :

public static void UnbindDefaultSslBindingFromIp()
{
    Trace.TraceInformation(">> IISTenantManager: Unbind default SSL binding from IP");
    using (var serverManager = new Microsoft.Web.Administration.ServerManager())
    {
        try
        {
            var websiteName = string.Format("{0}_Web", Microsoft.WindowsAzure.ServiceRuntime.RoleEnvironment.CurrentRoleInstance.Id);
            var site = serverManager.Sites[websiteName];
            var defaultSslBinding = site.Bindings.Single(b => b.IsIPPortHostBinding && b.Protocol == "https");
            defaultSslBinding.BindingInformation = string.Format("*:{0}:", defaultSslBinding.EndPoint.Port);
            serverManager.CommitChanges();
        }
        catch (Exception ex)
        {
            Trace.TraceError(ex.ToString());
        }
    }
}

নিম্নলিখিত স্ক্রীনশটটি আমাদের ক্লাউড পরিষেবার একটি কার্যকারী কনফিগারেশন দেখায়। দয়া করে অ-মানক বন্দরগুলি সম্পর্কে বিভ্রান্ত হবেন না। স্ক্রিনশটটি এমুলেটেড ক্লাউড পরিষেবা থেকে।

আরও একটি বিষয় উল্লেখ করতে হবে: * সমস্ত বাঁধাই * * তে পরিবর্তন করবেন না কারণ এইচটিটিপি (পোর্ট 80) বাইন্ডিং কেবল আইপি: পোর্ট টেমপ্লেটযুক্ত ক্লাউড পরিষেবায় কাজ করে। আইপি: 80-তে অন্য কোনও কিছু আবদ্ধ হয় তাই *: 80 কাজ করে না কারণ * "সমস্ত অ-নিরীক্ষিত" এবং আইপি ইতিমধ্যে HT.sys- এ অন্য কোথাও নির্ধারিত হয়েছে।

আপনার ক্যাচ-অল বাইন্ডিং আইপি: পোর্টের মতো নয় তা নিশ্চিত করুন। যখন কোনও আইপি: এইচটিটিপিএস বাইন্ডিংয়ের জন্য পোর্ট বাইন্ডিং উপস্থিত থাকে যখন এসএনআই প্রয়োজন হয় না, সেই বাইন্ডিংটি সর্বদা অগ্রাধিকার গ্রহণ করবে। আপনার ক্যাচ-অল কেসের জন্য, একটি *: পোর্ট বাইন্ডিং (* সমস্ত স্বাক্ষরযুক্ত নয়) ব্যবহার করুন।

আইআইএস এসএনআই সমর্থন করে, এমনকি অ্যাজর ক্লাউড সার্ভিসের ওয়েব রোলগুলিতে আপনি পোর্টালের মাধ্যমে কনফিগার করতে না পারলেও এবং স্থাপনার পরে যদি আপনি বাক্সে এটি করেন তবে এটি আপনার পরবর্তী স্থাপনার সাথে মুছে যাবে। সমাধানটি কনফিগারটি স্বয়ংক্রিয় করা হয়। বিস্তারিত জানার জন্য এখানে দেখুন:

http://www.vic.ms/microsoft/windows-azure/multiples-ssl-certificates-on-windows-azure-cloud-services/